Windowsサーバシステムのログ管理€¦ ·...

© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

Windowsサーバシステムのログ管理インターネット セキュリティ システムズ株式会社

テクニカル・ソリューション課 マネージャエグゼクティブ セキュリティ エンジニア

小倉秀敏

2© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

対象アプリケーション

Internet Information ServerSQL Server

3© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

ログ管理の目的

目的定常状態を知る

セキュリティ問題が発生している兆候を知る

不正侵入・不正利用の防止は不可能事後の発見のみ

防御には防御ソリューションが必要

サーバに対する「悪意を持った全ての操作」が記録できるわけではない

フォレンジックスを目的にしない方がよいフォレンジックスには専門のトレーニングが必要

Explorerでログファイルを参照するだけで証拠能力は消滅

4© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

ログ管理を容易にするために・・・カスタムMMCの構成

専用のMMCコンソールファイルの作成mmc /aコマンドによるカスタムコンソールファイルの作成SQL Enterprise Manager、IISコンソール、イベントビューア等をひとまとめに

5© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

MMCへのスナップインの追加

6© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

カスタマイズが終了したMMC

© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

Internet Information Server

8© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

IISのログ解析

対象ログ%SystemRoot%¥system32¥Logfilesディレクトリに保存されるログ

解析する内容とはIISに対するアクセスログ制限的であることを理解する必要あり

バッファオーバーフローにより動作させられたプログラム等をログすることはできない

Webアプリケーションの構成によりログに保存できるレベルが影響を受ける

9© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

IISログ形式の設定

10© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

ODBCログ

データベースへのログ保管Windows 2003 ServerのIIS 6.0から利用可能ログ保管先にデータベースを利用

データベースに保管された他システムとのログの突き合わせには有効

IPアドレスなどを利用した複数ログの結合クエリIIS自体のパフォーマンスに影響を与えるため積極的には使用されない

ClientHost, Username, LogTime, Service, Machine, ServerIP,ProcessingTime, BytesRecvd, BytesSent, ServiceStatus, Win32Status, Operation, Target, Parameters

11© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

IISで記録可能な項目

HTTP 関連の処理のその他の状態プロトコルの副状態

ユーザを現在のサイトに導いたサイト参照者

送受信された Cookie の内容Cookie クライアントが使用したブラウザユーザエージェント

コンピュータ名ホスト

クライアントが使用したプロトコルバージョンプロトコルバージョン

処理にかかった時間所要時間

サーバが受信したバイト数受信バイト数

サーバが送信したバイト数送信バイト数

Windows 関連の処理の状態Win32の状態

HTTP 関連の処理の状態プロトコルの状態

クライアントが実行しようとしたクエリ文字列URI クエリ

HTML ページ、CGI プログラム、スクリプトなどの、アクセスされたリソースURI Stemクライアントが実行を試みたアクションメソッド

クライアントが接続したポート番号サーバーポート

サーバのIPアドレスサーバー IPサーバの名前サーバー名

クライアントで実行されているインターネット サービスサービス名

サーバにアクセスしたユーザの名前ユーザ名

クライアントのIPアドレスクライアント IP アドレス説明拡張設定項目

12© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

IISログ設定

URIクエリを追加しない場合#Fields: time c-ip cs-method cs-uri-stem sc-status 00:57:12 xx.xx.xx.xx POST /iishelp/iis/misc/Query.asp 200

URIクエリを追加した場合#Fields: time c-ip cs-method cs-uri-stem cs-uri-query sc-status 00:58:45 xx.xx.xx.xx POST /iishelp/iis/misc/Query.aspSearchType=0 200

ユーザーエージェントはあまり意味がない01:14:55 xx.xx.xx.xx POST /iishelp/iis/misc/Query.asp SearchType=3 200Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+.NET+CLR+1.1.4322)

13© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

IISログ設定

URIクエリをログに残すURIを残すことで、クエリとして渡された文字列を確認することが可能

14© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

どんなログを残すか

利用状況を把握した上での設定利用しているメソッドに応じた設定

GETメソッドのみであればURI、POSTメソッドを使っているのであればCookie等その他の情報

#Fields: time c-ip cs-method cs-uri-stem cs-uri-query sc-status cs(Cookie) cs(Referer) 02:35:53 xx.xx.xx.xx GET /iishelp/iis/misc/search.asp Searchset=3&SearchString=オブジェクト 200 ASPSESSIONIDGGQGGVFC=IFFFPKHBBLNMNEIFJJBPHOMB http://localhost/iishelp/iis/misc/default.asp

02:35:55 xx.xx.xx.xx POST /iishelp/iis/misc/Query.asp SearchType=3 200 ASPSESSIONIDGGQGGVFC=IFFFPKHBBLNMNEIFJJBPHOMB http://localhost/iishelp/iis/misc/search.asp?Searchset=3&SearchString=オブジェクト

15© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

ログの設定法

取得する情報の選択Webアプリケーションで利用しているものを確認して項目を設定GETメソッドが利用される場合URIが重要POSTメソッドを使用している場合は渡される内容を直接取得は不可能受信バイト数、送信バイト数

XSS攻撃の際、リクエスト、レスポンスが大きくなる可能性があるため送信バイト数や受信バイト数が利用できる可能性あり

16© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

攻撃とログの例

ディレクトリ・トラバーサル

IDS検知回避バッファ・オーバーフロー

17© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

ディレクトリ・トラバーサル

/cgi-binディレクトリ配下からディレクトリ・トラバーサルを利用2005-01-25 04:44:31 192.168.35.52 GET /cgi-bin/main.cgi

board=FREE_BOARD&command=down_load&filename=../../../../ 80 -192.168.35.217 - 404 0 3 1800 150

2005-01-25 04:44:31 192.168.35.52 GET /cgi-bin/main.cgiboard=FREE_BOARD&command=down_load&filename=../../../../../../../../../../etc/passwd 80 - 192.168.35.217 - 404 0 3 1800 178

2005-01-25 04:44:31 192.168.35.52 GET /cgi-bin/main_menu.pl - 80 -192.168.35.217 - 404 0 3 1800 97

2005-01-25 04:44:31 192.168.35.52 GET /cgi-bin/majordomo.pl - 80 -192.168.35.217 - 404 0 3 1800 97

2005-01-25 04:44:31 192.168.35.52 GET /cgi-bin/makechanges/easysteps/easysteps.pl - 80 - 192.168.35.217 - 404 0 3 1800 119

2005-01-25 04:44:31 192.168.35.52 GET /cgi-bin/man.sh - 80 -192.168.35.217 - 404 0 3 1800 91

18© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

ディレクトリ・トラバーサル

InteInfoディレクトリからのトラバーサル2005-01-25 05:12:46 192.168.35.52 GET /..%2f..%2f..%2f..%2fwinnt/system32/cmd.exe

/c+dir+c: 80 - 192.168.35.217 - 404 0 3 1800 1372005-01-25 05:12:46 192.168.35.52 GET

/..%5c..%5c..%5c..%5c..%5c../winnt/system32/cmd.exe /c+dir+c:¥ 80 -192.168.35.217 - 404 0 3 1800 148

2005-01-25 05:12:46 192.168.35.52 GET /..%5c..%5c..%5c..%5cwin2000/system32/cmd.exe /c+dir 80 - 192.168.35.217 - 404 0 3 1800 136

2005-01-25 05:12:46 192.168.35.52 GET /..%5c..%5c..%5c..%5cwindows/system32/cmd.exe /c+dir 80 - 192.168.35.217 - 404 0 3 1800 136

2005-01-25 05:12:46 192.168.35.52 GET /..%5c..%5c..%5c..%5cwinnt/system32/cmd.exe /c+dir 80 - 192.168.35.217 - 404 0 3 1800 134

2005-01-25 05:12:46 192.168.35.52 GET /..%5c..%5cwinnt/system32/cmd.exe /c+dir+c: 80 - 192.168.35.217 - 404 0 3 1800 123

19© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

Nimdaが残すディレクトリ・トラバーサル

Nimdaワームが残す典型的なログ（URIのみ）GET /scripts/root.exe?/c+dir GET /MSADC/root.exe?/c+dir GET /c/winnt/system32/cmd.exe?/c+dir GET /d/winnt/system32/cmd.exe?/c+dir GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir GET /msadc/..%5c../..%5c../..%5c/..¥xc1¥x1c../..¥xc1¥x1c../..¥xc1¥x1c../winnt/system32/cmd.exe?/c+dir GET /scripts/..¥xc1¥x1c../winnt/system32/cmd.exe?/c+dir GET /scripts/..¥xc0/../winnt/system32/cmd.exe?/c+dir GET /scripts/..¥xc0¥xaf../winnt/system32/cmd.exe?/c+dir GET /scripts/..¥xc1¥x9c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir

20© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

IDS等の検知回避系

IDSの検知回避もしくはディレクトリ・トラバーサルを目的Nimda等の攻撃にも含まれるURIに含まれる文字列をエンコード現在この手法で回避されるIDSはない

2005-01-25 04:44:58 192.168.35.52 GET /.%2e/.%2e/.%2e/winnt/boot.ini - 80 -192.168.35.217 - 404 0 3 1800 112

2005-01-25 04:44:58 192.168.35.52 GET /.%2e/.%2e/.%2e/winnt/repair/sam._ -80 - 192.168.35.217 - 404 0 3 1800 116

2005-01-25 04:44:58 192.168.35.52 GET /..%2f..%2f..%2f..%2f..%2f../windows/repair/sam - 80 - 192.168.35.217 - 404 0 3 1800 133

2005-01-25 04:44:58 192.168.35.52 GET /..%2f..%2f..%2f..%2f..%2f../winnt/repair/sam - 80 - 192.168.35.217 - 404 0 3 1800 131

2005-01-25 04:44:58 192.168.35.52 GET /..%2f..%2f..%2f..%2f..%2f../winnt/repair/sam._ - 80 - 192.168.35.217 - 404 0 3 1800 133

21© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

バッファオーバーフロー系

IIS idq.dll ISAPI extension buffer overflow2005-01-25 05:24:22 192.168.35.52 GET /null.ida

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=x 80 - 192.168.35.217 - 404 0 2 1800 286

2005-01-25 05:24:22 192.168.35.52 GET /null.ida xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=x 80 - 192.168.35.217 - 404 0 2 1800 287

2005-01-25 05:24:22 192.168.35.52 GET /null.idaxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=x 80 -192.168.35.217 - 404 0 2 1800 338

22© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

IPSによるidq.dllオーバーフロー検知

23© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

クロスサイト・スクリプティング

24© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

IISのログ

<script>・・・</script>がPOSTで渡されていることが分からない#Software: Microsoft Internet Information Services 6.0#Version: 1.0#Date: 2005-01-24 20:20:43#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip

cs(Cookie) sc-status sc-substatus sc-win32-status sc-bytes cs-bytes2005-01-24 20:20:43 192.168.35.52 GET /wk02/Default.aspx - 80 - 192.168.35.217

CookieLoginAttempts=4 200 0 0 994 4052005-01-24 20:21:08 192.168.35.52 POST /wk02/Default.aspx - 80 - 192.168.35.217

CookieLoginAttempts=4 200 0 0 1132 820

Webアプリケーションの構成により、攻撃自体がログに残らない

注意：W3C形式でログを保存した場合、時刻はGMTMicrosoftサポートオンライン：拡張ログファイル形式では時刻が常にGMTで記録されるhttp://support.microsoft.com/default.aspx?scid=kb;ja;194699

25© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

IPSであれば・・・

POSTメソッドによるクロスサイト・スクリプティングを検知可能

IISのログでは確認できない内容を補うことが可能

26© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

IPSでの検知時の情報

Date/Time : 2005-01-25 05:21:09 JSTTag Name : HTTP_POST_ScriptAlert Name : HTTP_POST_ScriptSeverity : MediumTag Brief Description : Observance Type : Intrusion DetectionCombined Event Count : 1Cleared Flag : NoTarget DNS Name : Target IP Address : 192.168.35.52Target Object Name : 80Target Object Type : Target PortTarget Service : httpSource DNS Name : Source IP Address : 192.168.35.217SourcePort Name : 2961Sensor DNS Name : Sensor IP Address : 192.168.35.52Sensor Name : server_sensor_1

Attribute Value Pairs for Event Number : 1Attribute Name : algorithm-idAttribute Value : 2000635Attribute Name : AttackSuccessfulAttribute Value : 2Attribute Name : DestinationEthernetAddressAttribute Value : 00:50:56:C0:00:08Attribute Name : fieldAttribute Value : TextBox1Attribute Name : IANAProtocolIdAttribute Value : 6Attribute Name : protocolAttribute Value : httpAttribute Name : serverAttribute Value : tokwks031Attribute Name : SystemAgentAttribute Value : TOKWKS031Attribute Name : URLAttribute Value : /wk02/Default.aspxAttribute Name : valueAttribute Value : <script>..alert+('..</script>

27© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

SQLインジェクション

サンプルWebサイトに対してSQLインジェクションによるログオン認証回避ユーザ認証を以下のようなSQLで実現している場合

SELECT UserID FROM UserTblWHERE UserName = txtUserName AND Passwrd = txtPassword

ユーザ名として’ OR 1=1 を与えると・・・SELECT UserID FROM UserTbl

WHERE UserName = txtUserName AND Passwrd = txtPassword OR 1=1

常に認証に成功

正規のユーザ名とパスワードを知っている必要がない

28© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

SQLインジェクションの際のログ

不正なSQL文が渡されていることが分からない#Software: Microsoft Internet Information Services 6.0#Version: 1.0#Date: 2005-01-24 21:00:37#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username

c-ip cs(Cookie) sc-status sc-substatus sc-win32-status sc-bytes cs-bytes2005-01-24 21:01:11 192.168.35.52 POST /hacmebank/Login.aspx - 80 -

192.168.35.217CookieLoginAttempts=5;+ASP.NET_SessionId=4nhskaykui2jor45oqjzpm55 302 0 0 539 753

2005-01-24 21:01:11 192.168.35.52 GET /hacmebank/welcome.aspx - 80 -192.168.35.217CookieLoginAttempts=4;+ASP.NET_SessionId=4nhskaykui2jor45oqjzpm55 200 0 0 6657 529

29© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

IPSであれば・・・

POSTメソッドにより渡されている文字列を正確に把握可能

30© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

IISログはどこまで有効か

有効な点オーバーフローを狙った長大なリクエストの記録

WebDAVに対する長大な要求などただし本当にバッファオーバーフローが発生したかどうかは判断不可能

ディレクトリ・トラバーサルを悪用した攻撃

主にNimdaやCodeRedなどのワーム

無効な点Webアプリケーションの脆弱点に対する攻撃は記録できないクロスサイト・スクリプティング

SQLインジェクションなど

© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

SQL Serverのログ

32© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

SQL Serverのログ解析

ログの種類監査ログ

SQL Serverユーザのログオン状況を監査失敗、成功、すべて

SQL ServerエラーログSQL Serverのステータスを保存

例：SQLServer は 192.168.35.217: 1433 で受信を待っています。等SQL Server Agentエラーログ

SQL Server Agentのエラーおよび警告を記録トレース

SQL Serverに対するあらゆる操作を記録可能別途実施する必要あり

SQLプロファイラシステムストアドプロシージャの呼び出し

33© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

SQL Server監査ログ

34© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

SQL Serverエラーログ

35© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

SQL Server Agentエラーログ

36© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

SQLプロファイラ

37© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

SQLプロファイラトレース対象

38© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

SQLプロファイラの目的

SQL Serverのインスタンスのパフォーマンスの監視Transact-SQLステートメントおよびストアドプロシージャのデバッグ実行に時間のかかるクエリの特定

ステートメントを1ステップずつ実行してコードが期待どおりに機能するかどうかを確認する、プロジェクトの開発段階でのSQLステートメントおよびストアドプロシージャのテスト

稼動システムのイベントをキャプチャし、テストシステムでこれらのイベントを再生することにより、SQL Serverで行う問題のトラブルシューティングSQL Serverのインスタンスで発生した利用状況の監査と検討。セキュリティ管理者は、ログインの成否、ステートメントやオブジェクトへのアクセスで使用した権限の成否などを含めて、すべての監査イベントを検討できます。

※SQLプロファイラのヘルプより抜粋

39© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

SQLインジェクションの発見

SQLインジェクションを実施するのは正規アカウントWebアプリケーションがSQL Serverに対してSQLインジェクションされたSQL文を発行→正規アカウントが利用されるイベントログやSQL Serverエラーログからは発見不可能

発行されるSQL文そのものの監査が必要トレースの実施

40© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

ログインしか分からない・・・

41© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

SQLプロファイラによるトレース例

OR 1=1が追加されていることが分かる

42© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

SQLインジェクションで起こしたエラーから情報を収集

‘ HAVING 1=1--をインジェクションエラーメッセージ例

列 ‘FSB_USERS.user_id’が集計関数に含まれていない場合および GROUP BY 句がない場合は、選択リスト内では無効です。列 ‘FSB_USERS.user_name’が集計関数に含まれていない場合および GROUP BY 句がない場合は、選択リスト内では無効です。列 ‘FSB_USERS.login_id’が集計関数に含まれていない場合およびGROUP BY 句がない場合は、選択リスト内では無効です。列‘FSB_USERS.password’が集計関数に含まれていない場合および GROUP BY 句がない場合は、選択リスト内では無効です。列 ‘FSB_USERS.creation_date’が集計関数に含まれていない場合および GROUP BY 句がない場合は、選択リスト内では無効です。

FSB_USERSテーブルが存在user_id, user_name, login_id, password, creation_date列が存在

43© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

エラーによる情報取得の捕捉

SQL実行完了だけをトレースした場合捕捉不可能

44© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

エラーによる情報取得の捕捉

SQL実行開始をトレースすると捕捉可能

45© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

SQLインジェクションによる任意のコマンド実行

master..xp_cmdshell拡張ストアドプロシージャを悪用‘; exec master..xp_cmdshell dir--；を先頭に入れることで、1行に複数のSQL文を入れることが可能xp_cmdshellを通じてdirコマンドを実行任意のコマンドを実行可能

46© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

SQLインジェクションによるdir

47© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

トレースによるxp_cmdshellの実行記録

master..xp_cmdshellが起動されている

48© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

SQLインジェクションによるxp_cmdshellプロシージャの実行検知

49© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

トレースの問題

SQLプロファイラによるトレースSQLプロファイラはSQL Serverのクライアントプログラムの一種常時接続クライアントが追加される

SQLプロファイラ自体はSQL Serverとは異なるホストで実行可能SQL Server自体のパフォーマンス問題につながるトレースの設定によっては捕捉できない状況が発生

システムストアドプロシージャの利用

SQL文を実行する前にシステムストアドプロシージャにより部分的にトレースを実施

部分的に実施するためSQLプロファイラを実行しておく場合よりもSQL Serverに対する影響は僅か

アプリケーション開発者が意図的にシステムストアドプロシージャを利用しなければならない

50© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.

参考

WebハッキングトレーニングアプリケーションFoundstoneのHacme BankTM

http://www.foundstone.com/resources/proddesc/hacmebank.htm簡単にSQLインジェクションやクロスサイト・スクリプティングをテスト可能実行後のIISやSQL Serverのログの確認に利用可能環境

Microsoft .NET Framework 1.1IISMSDE 2000もしくはSQL Server 2000Microsoft ASP.NET Web Matrixがあればなお良い

51© 2004 Internet Security Systems. All rights reserved. Contents are property of Internet Security Systems.